aktivlarning jozibadorligi yoki potentsial ta'siri - xodimlar tomonidan qasddan qilinuvchi tahdidlar ko'rib chiqilganda;
aktiv zaifligidan foydalanishdagi soddalik - personal tomonidan yuzaga keltiriluvchi tahdidlar ko'rib chiqilganda zaiflik hisobiga maqsadga erishish;
AX tahdid manbaining texnik imkoniyatlari - inson tomonidan AX tahdidi ko'rib chiqiladigan holda;
texnik va texnik bo'lmagan zaifliklardan foydalanishdagi ta’sirchanlik.
65. Axborot xavfsizligi riskini baholashning yondashuvlari
ISO/IEC 27005:2011 va GOST R Iso/IEC 27005-2011 standartlarida ib risklarini baholashning ikkita asosiy turi mavjud va ularning kombinatsiyasi qayd etilgan.
Yuqori darajali;
Batafsil.
Qaysi yondashuvdan foydalanish bir necha omillarga bog'liq, jumladan:
ularning biznes muhiti va biznesni tashkil etish turi;
axborotni qayta ishlash va biznesni qo'llab-quvvatlovchi ilovalarga bog'liqlik;
AT va qo'llab-quvvatlovchi tizimlar, ilovalar va xizmatlarning murakkabligi;
hamkor kompaniyalar soni va tashqi biznes va shartnomaviy munosabatlar doirasi.
Yuqori darajali (eng. high-level IS risk assessment)
AX risklarini baholashga turli yondashuvlar talab qilinadigan vaqt va ish hajmi, shuningdek, batafsil va tahlil miqyosi bilan farqlanadi.
Tashkilot axborot xavfsizligi riskini baholash bo'yicha o'zining yondashuv(larini) tanlashi mumkin bo'lsa-da, qo'llaniladigan yondashuv tashkilotning biznes va axborot xavfsizligini ta'minlash talablarini bajarilishi uchun yetarli darajada zaruriy choralar va tafsilotlarini kafolatlashi lozim.
Misol uchun, tashkilot yoki AXBTva uning resurslari "past" va "o'rtacha" darajasidan yuqori bo'lmagan AXT talablariga ega bo'lsa, u holda AX risklarini yuqori darajali baholash yetarli bo'lishi mumkin.
Ushbu darajaga qaratilgan axborot xavfsizligi riskini baholashning amaliy usullari odatda aktivlarning qiymatini hisobga olmaydi va himoya choralari samaradorligini baholamaydi. Ushbu sinfning usullari tashkilotning aktivlariga AXT yuqori talablar qo'yilmagan hollarda qo'llaniladi
Do'stlaringiz bilan baham: |